Tutmanichtun
Anmeldungsdatum: 31. Januar 2008
Beiträge: Zähle...
|
Hi zusammen, da ich im moment versuche, unseren WG-Server (ubuntu 14.04.4) etwas gegen Kryptotrojaner zu wappnen, versuche ich, Samba dazu zu bewegen, die Nutzeraktivitäten genauer zu protokollieren. Dabei versuche ich, nach folgender Anleitung vorzugehen:
http://heise.de/-3120956
Es hakt jedoch schon bei Punkt 1: ich habe die Logging-Optionen so gut es ging in meine Config übernommen, aber zum einen wird nichts wie gewünscht protokolliert, und zum zweiten habe ich in der Datei "log.%m" die folgenden Zeilen:
| [2016/07/10 12:18:00.024667, 0] ../source4/smbd/server.c:372(binary_smbd_main)
samba version 4.3.9-Ubuntu started.
Copyright Andrew Tridgell and the Samba Team 1992-2015
[2016/07/10 12:18:00.616537, 0] ../source4/smbd/server.c:477(binary_smbd_main)
At this time the 'samba' binary should only be used for either:
'server role = active directory domain controller' or to access the ntvfs file server with 'server services = +smb' or the rpc proxy with 'dcerpc endpoint servers = remote'
You should start smbd/nmbd/winbindd instead for domain member and standalone file server tasks
[2016/07/10 12:18:00.616718, 0] ../lib/util/become_daemon.c:111(exit_daemon)
STATUS=daemon failed to start: Samba detected misconfigured 'server role' and exited. Check logs for details, error code 22
|
Der Witz an der Aktion, und warum mir eine Websuche dazu nicht weiterhilft: die Samba-Freigaben sind aktiv. Ich komme ganz wunderbar übers Netzwerk auf die Ordner, ob mit Windows oder Android...
Im Anhang habe ich mal die smb.conf hochgeladen. Gute Ideen sind herzlich Willkommen. ☺ Gruß,
Tutmanichtun
- smb.ksh (10.1 KiB)
- Download smb.ksh
|
Max-Ulrich_Farber
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7992
|
At this time the 'samba' binary should only be used for either:
'server role = active directory domain controller' or to access the ntvfs file server with 'server services = +smb' or the rpc proxy with 'dcerpc endpoint servers = remote'
You should start smbd/nmbd/winbindd instead for domain member and standalone file server tasks
Handelt es sich hier vielleicht wieder einmal um eine Verwechslung der beiden Binaries: "samba" ist nur für ADC; der Daemon für Standalone-Server ist "smbd", und dieser scheint ja zu laufen. Gruß – Max-Ulrich
|
Ubunux
Anmeldungsdatum: 12. Juni 2006
Beiträge: 16456
|
Was soll das denn wieder? Muss ich erst eine Datei abspeichern, dann mit dem passenden Programm öffnen, um zu sehen was Sache ist? Benutze bitte Codeblöcke um den Inhalt solcher Dateien hier zu zeigen. Beachte Richtig fragen
|
Axeaminator
Anmeldungsdatum: 16. April 2009
Beiträge: 63
Wohnort: Basel
|
Hallo erst mal ☺ Also gemäss https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html#VFSOBJECTS gehören die vfs objects Definitionen unter Share Sektion und nicht Global
[global]
...
# Prokollierung aktivieren (siehe http://heise.de/-3120956)
full_audit:failure = none
full_audit:success = pwrite write rename
full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
full_audit:facility = local7
full_audit:priority = NOTICE
...
[RAID]
path = /media/RAID
comment = Das gesamte RAID-Laufwerk
guest ok = no
writeable = yes
# Ermöglicht Protokollierung, siehe http://heise.de/-3120956
vfs objects = full_audit
# Netzwerk-Papierkorb einrichten
vfs object = recycle
...
die beiden Angaben Hebels sich zudem aus, besser wäre
vfs objects = full_audit recylce korrigiere mal die Konfig auf diese hier [RAID]
...
vfs objects = full_audit recylce
full_audit:failure = none
full_audit:success = pwrite write rename
full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
full_audit:facility = LOCAL7
full_audit:priority = NOTICE... mfg Axe
|
Tutmanichtun
(Themenstarter)
Anmeldungsdatum: 31. Januar 2008
Beiträge: 39
|
Hi zusammen, danke für die Antworten. ☺ @Max-Ulrich_Farber: ich habe gerade mittels initctl list nachgesehen. Da ich mit dem Handy keinen Text kopieren kann, hier nur ein Auszug der Liste:
nmbd start/running, process 1819
smbd start/running, process 782
samba-ad-dc stop/waiting
Wirkt auf mich korrekt... in der Liste steht allerdings auch "systemd-logind" als laufender Prozess. Systemd ist doch ein weiteres Init-System, das wär doch eigentlich Quatsch, zwei davon laufen zu haben, oder? @Ubunux: Tut mir leid. Bitte sehr: smb.conf @Axeaminator: Hm, sehr merkwürdig, da bei Heise doch ausdrücklich "Global" steht? Habs geändert, aber ohne Erfolg. Das Log bleibt leer (also von der Info, das Samba nicht gestartet werden kann, und der Info, das smbd und nmbd laufen, abgesehen). ☹
|
Max-Ulrich_Farber
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7992
|
nmbd start/running, process 1819
smbd start/running, process 782
samba-ad-dc stop/waiting
Wirkt auf mich korrekt...
Auf mich auch ☺ Hm, sehr merkwürdig, da bei Heise doch ausdrücklich "Global" steht? Habs geändert, aber ohne Erfolg
vfs objects können wahlweise entweder global oder auch für einzelne Shares eingerichtet werden.
Gruß – Max-Ulrich
|
Tutmanichtun
(Themenstarter)
Anmeldungsdatum: 31. Januar 2008
Beiträge: 39
|
Hat niemand ne gute Idee? Vielleicht die "server role" umstellen? Ich kenne mich nur leider mit der Netzwerktechnik zu wenig aus, um zu sagen, welche Einstellung korrekt wäre.
Oder die "samba"-Binary am Starten hindern?
|
Max-Ulrich_Farber
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7992
|
Dumme Frage: Was ist jetzt eigentlich (noch) das Problem?
|
Tutmanichtun
(Themenstarter)
Anmeldungsdatum: 31. Januar 2008
Beiträge: 39
|
Das Problem ist, dass ich im Log keine Änderungen sehe, wenn jemand auf die Freigabe schreibt, sondern nur Haufenweise Einträge habe, die ich im ersten Post ja schon kopiert hatte.
|
Max-Ulrich_Farber
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7992
|
Bitte stelle doch 'mal Dein Problem so dar, dass man es verstehen kann. Ich jedenfalls verstehe es nicht. dass ich im Log keine Änderungen sehe, wenn jemand auf die Freigabe schreibt
Was sollte man denn im Log da sehen? sondern nur Haufenweise Einträge habe, die ich im ersten Post ja schon kopiert hatte
Die sind doch bereits erklärt: Weil der Daemon smbd läuft, kann das binary samba nicht gestartet werden. Das ist so normal und völlig richtig. Also nochmal: Wo ist das Problem ❓
|
Tutmanichtun
(Themenstarter)
Anmeldungsdatum: 31. Januar 2008
Beiträge: 39
|
Ok, tut mir leid. Vielen Dank für deine Geduld. ☺
Ich möchte gerne, das Samba mir Schreibzugriffe auf die Freigaben protokolliert, wie es bei Heise beschrieben ist:
| 2016-02-29T11:07:36.162528+01:00 hort
smbd_audit:IP=1.2.3.4|USER=dha|MACHINE=win7dha|VOLUME=dha|pwrite|ok|bla/Q-Dir_Installer.zip
2016-02-29T11:08:43.945654+01:00 hort
smbd_audit:IP=1.2.3.4|USER=dha|MACHINE=win7dha|VOLUME=dha|pwrite|ok|bla/ganzböserverschlüsselungstrojaner.locky
|
- Quelle: http://heise.de/-3120956 - Das sollte dementsprechend im Log stehen. Derartige Einträge finde ich aber nicht, nur eben das, was in meinem Eröffnungsbeitrag im Codeblock steht.
|
Max-Ulrich_Farber
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7992
|
Ah, jetzt verstehe ich besser. Das Problem hat also nichts mehr direkt mit dem Titel des Thread zu tun (?). Es geht also nur noch um full audit . Ich weiß, dass es in Samba4 ein Problem mit den vfs objects geben kann, weil diese anscheinend von NTVFS (verwendet bei Samba als AD-DC) nicht unterstützt werden. Dies gilt damit entsprechend auch für den Netzwerk-Papierkorb (vfs objects = recycle"). Normalerweise schließen sich die Backends smbd und ntvfs aus. Vermutlich gibt es da irgend ein Ungedeih, weil Du versuchst bzw. versucht hast, die binary samba zu starten (?). Wenn in einem Standalone-Server nur smbd läuft und samba gar nicht gestartet wurde, müssten eigentlich die vfs objects funktionieren.
|
Tutmanichtun
(Themenstarter)
Anmeldungsdatum: 31. Januar 2008
Beiträge: 39
|
Der Titel hat sich leider aufgrund der Annahme einer falschen Ursache als irreführend entpuppt. ☹ Ich hänge hier noch mal die komplette Ausgabe von "initctl list" an, ich finde als laufenden Prozess weder "samba-ad-dc" noch etwas von "ntvfs":
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112 | server@server:~$ initctl list
avahi-daemon start/running, process 1268
mountnfs-bootclean.sh start/running
rsyslog start/running, process 927
tty4 start/running, process 1078
udev start/running, process 436
upstart-udev-bridge start/running, process 430
whoopsie start/running, process 1246
avahi-cups-reload stop/waiting
mountall-net stop/waiting
nmbd start/running, process 1886
passwd stop/waiting
rc stop/waiting
startpar-bridge stop/waiting
ureadahead-other stop/waiting
apport start/running
irqbalance start/running, process 1178
smbd start/running, process 780
systemd-logind start/running, process 1223
tty5 start/running, process 1082
console-setup stop/waiting
hwclock-save stop/waiting
plymouth-log stop/waiting
gpu-manager stop/waiting
modemmanager start/running, process 1190
mountall.sh start/running
failsafe stop/waiting
rfkill-store stop/waiting
dbus start/running, process 1145
resolvconf start/running
ssh start/running, process 1144
failsafe-x stop/waiting
mounted-var stop/waiting
nvidia-prime stop/waiting
plymouth-shutdown stop/waiting
udev-fallback-graphics stop/waiting
usb-modeswitch-upstart stop/waiting
plymouth stop/waiting
checkroot.sh start/running
network-manager start/running, process 1359
control-alt-delete stop/waiting
hwclock stop/waiting
mounted-proc stop/waiting
cups-browsed start/running, process 1212
alsa-store stop/waiting
setvtrgb stop/waiting
shutdown stop/waiting
cron start/running, process 1130
lightdm start/running, process 2154
mountkernfs.sh start/running
alsa-restore stop/waiting
mountall stop/waiting
mounted-debugfs stop/waiting
console stop/waiting
mounted-run stop/waiting
acpid start/running, process 1131
bluetooth start/running, process 1210
checkfs.sh start/running
checkroot-bootclean.sh start/running
mountnfs.sh start/running
ufw start/running
kmod stop/waiting
rcS stop/waiting
reload-smbd stop/waiting
wait-for-state stop/waiting
plymouth-stop stop/waiting
bootmisc.sh start/running
flush-early-job-log stop/waiting
friendly-recovery stop/waiting
rc-sysinit stop/waiting
samba-ad-dc stop/waiting
tvheadend start/running, process 11205
cups start/running, process 2309
upstart-socket-bridge start/running, process 687
pulseaudio stop/waiting
mountdevsubfs.sh start/running
tty2 start/running, process 1090
upstart-file-bridge start/running, process 874
anacron stop/waiting
udevtrigger stop/waiting
mtab.sh start/running
tty3 start/running, process 1091
container-detect stop/waiting
mounted-dev stop/waiting
udev-finish stop/waiting
mysql start/running, process 1295
alsa-state stop/waiting
hostname stop/waiting
mountall-reboot stop/waiting
mythtv-backend stop/waiting
network-interface (lo) start/running
network-interface (eth0) start/running
tty1 start/running, process 1575
mountall-shell stop/waiting
mounted-tmp stop/waiting
plymouth-splash stop/waiting
udevmonitor stop/waiting
plymouth-ready stop/waiting
plymouth-upstart-bridge stop/waiting
mountall-bootclean.sh start/running
network-interface-security (network-manager) start/running
network-interface-security (network-interface/eth0) start/running
network-interface-security (network-interface/lo) start/running
network-interface-security (networking) start/running
networking start/running
tty6 start/running, process 1095
dmesg stop/waiting
procps stop/waiting
rfkill-restore stop/waiting
console-font stop/waiting
network-interface-container stop/waiting
ureadahead stop/waiting
|
Laut der Ausgabe von "ps -e" habe ich aber vier mal den Prozess "smbd" laufen, das ist doch auch Quatsch, oder?
|
Max-Ulrich_Farber
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7992
|
samba-ad-dc stop/waiting
Zwar läuft der Prozess gerade nicht, doch er muss wohl irgendwann gestartet und angehalten worden sein. Ich weiß nicht genau, wie sich das auswirkt, doch es könnte wohl schon die Ursacher sein, warum vfs objecs nicht funktioniert. Womit wir, in etwas verändertem Kontext, doch wieder fast beim Titel des Thread angelangt wären … Laut der Ausgabe von "ps -e" habe ich aber vier mal den Prozess "smbd" laufen
Komisch, bei mir erscheint er bloß drei mal 😕 – Ich weiß nicht, was dies zu bedeuten hat. Vermutlich nicht viel.
|
Tutmanichtun
(Themenstarter)
Anmeldungsdatum: 31. Januar 2008
Beiträge: 39
|
Ok, dann betreibe ich mal ein bisschen Forschung, wie ich Samba am starten hindern kann, danke.
Ich meld mich, wenn ich Erfolg hatte oder verzweifelt bin. ☺
|